미국 이민세관집행국(ICE)이 마약 밀매 수사를 목적으로 Paragon Solutions의 스파이웨어를 구매 및 사용하고 있다는 사실이 공식 확인되었습니다. TechCrunch가 입수한 자료에 따르면, ICE의 Todd Lyons 국장 대행은 국회의원들에게 보낸 서신을 통해 범죄 수사 부서인 국토안보수사국(HSI)이 '외국 테러 조직의 암호화 플랫폼 악용'에 대응하기 위해 최첨단 기술 도구를 사용하는 것을 승인했다고 밝혔습니다.
"법 집행 기관이 암호화된 데이터에 접근할 수 없다는 점은 범죄 수사를 위해 기기 내부의 데이터를 직접 탈취하는 스파이웨어 도입의 주요 명분이 되고 있습니다."
이번에 언급된 Paragon Solutions의 스파이웨어 'Graphite'는 종단간 암호화(E2EE)가 적용된 통신 앱의 보안을 우회하여 기기 자체에서 데이터를 추출하는 것으로 알려져 있습니다. 이는 과거 이탈리아에서 언론인과 시민사회 활동가들을 감시하는 데 사용되었다는 논란에 휩싸였던 도구이기도 합니다. 바이든 정부는 당초 인권 침해 우려로 해당 계약을 중단시켰으나, 2025년 9월 ICE는 보안 및 오용 위험이 낮다는 판단하에 다시 계약을 활성화했습니다.
하지만 민주당 Summer Lee 의원을 비롯한 비판론자들은 이러한 침입형 기술이 헌법적 권리와 시민의 자유를 침해할 수 있다고 경고합니다. 특히 이민자, 유색인종 커뮤니티, 언론인 등이 잠재적인 감시 대상이 될 수 있다는 우려가 커지고 있으며, 정부의 '모호한 보증'만으로는 부족하다는 입장입니다.
[시니어 아키텍트의 분석]
전통적인 통신 감청은 네트워크 트래픽을 가로채는 방식(In-transit interception)이었으나, TLS 1.3과 강력한 종단간 암호화(E2EE)의 보급으로 인해 네트워크 레이어에서의 감청은 사실상 불가능해졌습니다. 이에 따라 국가급 공격자나 법 집행 기관은 'Endpoint Exploitation'으로 전략을 수정했습니다. Paragon의 도구는 HTTP/HTTPS 트래픽 자체가 아닌, 커널 레벨의 제로데이 취약점이나 앱 런타임 취약점을 공격하여 암호화 해제 직전의 메모리 상 데이터를 탈취하는 구조를 가집니다.
2. 제로 트러스트(Zero Trust) 환경에서의 위협 모델링클라우드 아키텍처에서 '제로 트러스트'는 모든 연결을 의심하는 것을 기본으로 하지만, 관리 주체가 명확하지 않은 '엔드포인트 기기'가 오염될 경우 신뢰 체인은 붕괴됩니다. Paragon의 스파이웨어는 OS의 샌드박스를 우회하거나 권한 상승(Privilege Escalation)을 통해 기기 전체의 통제권을 획득할 수 있습니다. 이는 기업용 클라우드 보안 환경에서도 모바일 기기 관리(MDM)와 엔드포인트 탐지 대응(EDR) 솔루션의 중요성을 다시 한번 상기시키는 사례입니다.
3. 인프라 운영 관점의 시사점이러한 스파이웨어의 C&C(Command and Control) 서버 통신은 일반적인 WWW 트래픽으로 위장하거나, CDN 또는 클라우드 인프라의 도메인 프론팅(Domain Fronting) 기법을 사용할 가능성이 큽니다. 아키텍트 입장에서는 단순히 암호화를 신뢰하는 것을 넘어, 비정상적인 데이터 전송 패턴(Data Exfiltration)을 탐지하기 위한 행동 기반 분석 시스템을 설계 과정에 반드시 반영해야 합니다.
원문 출처: ICE says it bought Paragon’s spyware to use in drug trafficking cases
댓글
댓글 쓰기